Sommaire de l'évaluation de l'efficacité des systèmes de contrôle interne en matière de rapports financiers et du plan d'action des Instituts de recherche en santé du Canada pour l'exercice 2011-2012 (non vérifié)

Annexe à la Déclaration de responsabilité de la direction englobant les contrôles internes en matière de rapports financiers

Note au lecteur

Depuis l'entrée en vigueur de la Politique sur le contrôle interne du Conseil du Trésor, les ministères et organismes sont tenus de démontrer qu'ils se sont dotés d'un système efficace de contrôle interne en matière de rapports financiers (CIRF).

Dans le cadre de cette politique, les ministères et organismes doivent évaluer annuellement leur système de CIRF, établir un ou des plans d'action pour apporter les ajustements qui s'imposent et joindre à la Déclaration de responsabilité de la direction un sommaire des résultats de l'évaluation et du plan d'action.

L'efficacité des systèmes de CIRF vise à obtenir des états financiers fiables et à donner une assurance raisonnable que :

Il importe de noter que le système de CIRF n'est pas conçu pour éliminer totalement les risques, mais plutôt pour les atténuer à un niveau raisonnable, les contrôles étant efficaces et définis en proportion des risques qu'ils visent à atténuer.

Le système de CIRF est conçu pour atténuer les risques à un niveau raisonnable fondé sur un processus continu qui vise à cerner les principaux risques, à évaluer l'efficacité des contrôles clés connexes et à apporter les ajustements nécessaires, ainsi qu'à surveiller le fonctionnement du système à des fins d'amélioration continue. Par conséquent, la portée, la fréquence et l'état d'avancement des évaluations de l'efficacité du système de CIRF des ministères et organismes peuvent varier d'une organisation à l'autre, compte tenu des risques et des situations qui leur sont propres.

1. Introduction

Le présent document est une annexe de la Déclaration de responsabilité de la direction englobant le contrôle interne exercé en matière de rapports financiers des Instituts de recherche en santé du Canada (IRSC) pour l'exercice 2011-2012. Comme l'exige la Politique sur le contrôle interne du Conseil du Trésor (CT), le document présente des renseignements sommaires sur les mesures prises par les IRSC en vue de tenir un système efficace de contrôle interne en matière de rapports financiers (CIRF). Plus particulièrement, il fournit de l'information sur les évaluations menées par les IRSC jusqu'au 31 mars 2012, notamment des renseignements sur les progrès, les résultats et les plans d'action connexes, ainsi que les principales données financières permettant de comprendre l'environnement de contrôle de l'organisme. Il s'agit de la deuxième annexe produite par les IRSC.

1.1 Pouvoirs, mandat et activités de programme

Il est possible d'obtenir des renseignements détaillés sur les pouvoirs, le mandat et les activités de programme des IRSC en consultant le Rapport sur les plans et priorités et le Rapport ministériel sur le rendement ainsi que la section du document Rapport du vérificateur et états financiers du rapport annuel.

1.2 Grandes lignes des états financiers

Les principales données financières des états financiers de 2011-2012 se trouvent dans la section Examen et analyse des états financiers du rapport annuel.

On trouve d'autres renseignements financiers de l'organisme pour l'exercice 2011-2012 dans la section III – Renseignements supplémentaires du Rapport ministériel sur le rendement et dans les Comptes publics du Canada.

1.3 Ententes de services pertinentes par rapport aux états financiers

Les IRSC ont recours à d'autres organismes pour le traitement de certaines opérations et la communication de renseignements qui ont un impact sur leurs états financiers.

1.4 Changements importants pendant l'exercice 2011-2012

Il n'est survenu aucun changement important pouvant avoir une influence sur les états financiers en 2011-2012.

2. Environnement de contrôle des IRSC pertinent par rapport au CIRF

Les IRSC reconnaissent qu'il incombe à la haute direction de donner le ton pour que les employés de tous les niveaux comprennent leur rôle dans le maintien de systèmes efficaces de CIRF et qu'ils soient en mesure d'exercer leurs responsabilités à cet égard avec compétence. Les IRSC ont pour priorité de s'assurer que les risques sont bien gérés grâce à un environnement de contrôle adaptable et axé sur le risque, qui favorise constamment l'amélioration et l'innovation.

2.1 Postes, rôles et responsabilités clés

Les membres des comités et les titulaires des postes clés des IRSC énumérés ci-dessous sont chargés d'assurer et d'examiner l'efficacité du système de CIRF.

Président – Le président des IRSC, à titre d'administrateur des comptes, assume la responsabilité générale et le leadership des mesures prises en vue de maintenir l'efficacité du système de contrôle interne.

Comité de la haute direction (CHD) – Le CHD joue un rôle directeur et décisionnel sur le plan stratégique, ainsi qu'en matière de gestion et de politique organisationnelle, contribuant ainsi aux orientations stratégiques définies par le conseil d'administration des IRSC et les appuyant.

Chef des services financiers (CSF) – Le CSF des IRSC relève directement du président et il exerce un leadership afin de soutenir la coordination, la cohérence et l'orientation de la conception et du maintien d'un système de CIRF efficace et intégré, ce qui comprend son évaluation annuelle.

Vice-président exécutif et vice-présidents – Le vice-président exécutif et les vice-présidents des IRSC sont responsables d'assurer et d'examiner l'efficacité des aspects du système de CIRF qui s'inscrivent dans leur mandat.

Dirigeant principal de la vérification (DPV) – Le DPV des IRSC relève du vice-président exécutif, sur le plan administratif, et du président, sur le plan fonctionnel. Il a accès sans restriction au comité de vérification des IRSC et au président du comité. Le DPV fournit, par des vérifications internes périodiques, des garanties qui concourent au maintien d'un système de CIRF efficace.

Comité de vérification – Le comité de vérification est un comité consultatif qui présente des points de vue objectifs sur les cadres de gestion du risque, de contrôle et de gouvernance des IRSC. Formé en juillet 2009, ce comité est présidé par un membre du conseil d'administration des IRSC et compte trois autres membres externes. Le président des IRSC est membre d'office sans droit de vote.

2.2 Mesures clés prises par les IRSC

L'environnement de contrôle des IRSC prévoit un ensemble de mesures visant à aider les employés à gérer les risques grâce à une sensibilisation accrue, à des connaissances et des outils pertinents, ainsi qu'au perfectionnement de leurs compétences. Parmi les principales mesures, mentionnons :

3. Évaluation du système de CIRF des IRSC

3.1 Base de l'évaluation

La Politique sur le contrôle interne précise que les IRSC doivent être en mesure de maintenir l'efficacité du système de CIRF en ayant pour objectif de fournir l'assurance raisonnable que : les opérations sont dûment autorisées; les dossiers financiers sont adéquatement tenus; les actifs sont protégés; les lois, les règlements et les politiques applicables sont respectés.

Depuis leur création, les IRSC ont toujours reçu une opinion de vérification sans réserve. Ils ont pu soutenir les vérifications fondées sur les contrôles par le Bureau du vérificateur général. En conséquence, les IRSC n'ont pas subi d'évaluation de l'état de préparation à la vérification, et leur recours aux contrôles leur a donc servi de point de référence pour examiner l'efficacité de leur CIRF.

L'examen englobe l'évaluation de l'efficacité de la conception et du fonctionnement du système de CIRF de l'organisme, menant à sa surveillance et à son amélioration continues.

Une conception efficace signifie que les principaux points de contrôle sont définis, consignés, établis, et qu'ils sont adaptés aux risques pertinents (c'est-à-dire que les contrôles correspondent et sont proportionnels aux risques à atténuer) et que tout redressement est apporté. Les principaux processus et systèmes de TI doivent notamment être mis en correspondance avec les principaux comptes.

Un fonctionnement efficace signifie que l'application des principaux contrôles a été mise à l'essai sur une période définie et que tout correctif nécessaire a été apporté. Ces essais ont porté sur les contrôles au niveau de l'organisation ou de l'entité, des processus opérationnels et des systèmes de TI en général.

Une surveillance continue signifie qu'une approche systématique intégrée est en place pour appuyer l'amélioration continue, notamment des évaluations périodiques fondées sur les risques et des mesures de redressement rapides.

Les IRSC s'occupent aussi des points faibles des contrôles qui sont soulevés par le Bureau du vérificateur général et dans le cadre de recommandations formulées par les fonctions de vérification interne et d'évaluation de l'organisme.

3.2 Portée de l'évaluation des IRSC

Au début de chaque année, les IRSC procèdent à une évaluation du risque financier dans leurs états financiers précédents pour déterminer les processus opérationnels clés qui posaient le plus grand risque pour l'organisme et les utilisateurs des états financiers. Les IRSC ont cerné 14 processus opérationnels importants.

Pour chacun de ces importants processus opérationnels, les IRSC ont :

  1. recueilli les renseignements disponibles concernant les processus et les emplacements, ainsi que les risques et les contrôles se rapportant au CIRF, y compris les politiques et procédures pertinentes;
  2. représenté les processus clés à l'aide d'explications, d'organigrammes et de matrices de contrôle interne pour indiquer et documenter les principaux risques et points de contrôle en fonction de l'importance, des volumes, du lien avec les documents de conformité, de la complexité et de la vulnérabilité aux pertes;
  3. évalué, documenté et mis à l'essai l'efficacité de la conception et du fonctionnement des contrôles clés;
  4. officiellement signalé et corrigé les lacunes constatées.

Pour l'exercice 2011-2012, les IRSC ont documenté et mis à l'essai l'efficacité de la conception de cinq processus et mis à jour les neuf processus qui ont été évalués en 2010-2011. L'efficacité du fonctionnement des 14 processus a aussi été vérifiée durant l'année.

Les évaluations des contrôles au niveau de l'entité ainsi que des contrôles généraux en matière de TI ont été effectuées au cours d'exercices précédents. En 2011-2012, l'unité de la vérification interne des IRSC a mené une vérification de la sécurité des TI, en complément aux travaux effectués au cours de l'année précédente.

4. Résultats de l'évaluation des IRSC

La méthode d'évaluation décrite ci-dessus a permis aux IRSC d'établir une architecture de base des points de contrôle correspondant aux principaux risques, par processus opérationnel et système de TI principal.

Au 31 mars 2012, les IRSC avaient terminé l'analyse et la vérification de l'efficacité de la conception et du fonctionnement pour tous les principaux processus opérationnels identifiés lors de l'évaluation des risques financiers. Les résultats de l'évaluation sont présentés dans les sous-sections qui suivent.

4.1 Efficacité de la conception des contrôles clés

À la suite des évaluations, les IRSC ont conclu à la nécessité d'apporter les ajustements qui suivent.

Processus d'approbation et répartition des tâches

Gestion d'actifs

Rapprochements et documentation

Systèmes de TI

Gestion financière

4.2 Efficacité opérationnelle des contrôles clés

Les IRSC ont évalué l'efficacité de fonctionnement des contrôles clés des 14 processus opérationnels. Les IRSC ont ainsi élaboré un plan de contrôle fondé sur les risques qui établissait les essais à effectuer et les facteurs connexes, notamment la période, la méthode et la fréquence des essais. En 2011-2012 des lacunes opérationnelles dans les paiements de transfert, les frais d'accueil, les frais de déplacement, la réception et l'expédition, ainsi que les créditeurs à la fin de l'exercice ont été remarqués en raison des incohérences dans l'application des processus de contrôle et du niveau d'exigences en matière de documentation entre les diverses unités. Jusqu'à maintenant, les mesures correctives ont été prises dès que les corrections à apporter ont été déterminées.

5. Plan d'action des IRSC

5.1 Progrès réalisés durant l'exercice 2011-2012

Durant l'exercice 2011-2012, les IRSC ont continué de réaliser des progrès importants dans l'évaluation et l'amélioration de leurs contrôles clés. Les IRSC ont donné suite à tous les points dans le plan d'action de l'exercice précédent, sauf l'embauche de personnel ou la modification des profils d'accès aux systèmes pour mieux répartir les tâches en raison des contraintes budgétaires. Toutefois, les IRSC ont établi des contrôles compensatoires pour atténuer ces risques. Les progrès importants sont résumés ci-dessous.

5.2 Plan d'action

Dans le prolongement des progrès réalisés jusqu'ici, les IRSC amorceront la transition vers une surveillance continue.

D'ici la fin de 2012-2013, si les ressources le permettent, les IRSC prévoient :

D'ici la fin de 2013-2014, si les ressources le permettent, les IRSC prévoient :

Date de modification :